"CISO – это тренер, который должен заставлять делать всё правильно"
Приведу такую аналогию. Допустим, инструктор учит очередного, крутого руководителя компании (далее для простоты - босс) кататься на горных лыжах и объясняет, как правильно сгибать ноги, наклоняться вперед и т.д. (точно так же ИБ объясняет бизнесу, какие риски несут современные технологии). При этом инструктор не устаёт напоминать, что катание на горных лыжах - это небезопасно и всё должно быть постепенно, иначе можно сломать шею.
Босс после обучения начинает худо-бедно кататься на простых трассах (в терминологии ИБ: применять небезопасные технологии в бизнес-процессах компании). Оказывается, всё просто и босс постепенно начинает повышать уровень трассы - ему не хочется сломать шею, но ему - человеку, любящему риск - не хватает драйва (в терминологии ИБ: бизнес идет на риск ради получения прибыли).
Теперь зададимся вопросом: окупилось ли обучение босса у инструктора?
- Если босс физически был готов к нагрузкам, вел себя адекватно и ничего страшного не случилось, то окупилось.
- Если босс ломает себе нетренированные ноги, то он считает, что зря потратил деньги на обучение и в голове у него, как у любого главы компании, зреет причинно-следственная связь: я пострадал, потому что инструктор был никудышный.
Вместо: я пострадал, потому что не следовал советам инструктора.
